可疑？帮忙分析行为，谢谢

显示全部楼层 · 发表于 2011-6-30 09:44:47

看了楼上结果，应该是个病毒，都放出那么一长串数字为名称的sys文件了。金山云比较夸张一点。

显示全部楼层 · 发表于 2011-6-30 09:47:03

实机测试。。。。。。。。。
过金山卫士。。。。。。。。。。
过红伞扫描。。。。。。。。。。
过微点扫描。。。。。。。。。
过清理助手。。。。。。。。。。
双击测试。。。。。。。。
微点主防秒杀。。。。。。。。

显示全部楼层 · 发表于 2011-6-30 09:51:50

大蜘蛛clean，文件加了壳：
Keygen.AVG.2011.Software.Pack.AIO.++.key.exe packed by FLY-CODE
已上报！

显示全部楼层 · 发表于 2011-6-30 09:53:49

KIS2012:Keygen.AVG.2011.Software.Pack.AIO.++.key.exe 已拒绝: Trojan.Win32.Jorik.Fraud.abb 2011/6/30 9:52:57

显示全部楼层 · 发表于 2011-6-30 10:18:08

如此明显的恶意动作，云端如何分析为安全满分？安全后连行为分析也一起哑火，所以金山真的应该改变目前的防御策略，这个实在不是口水。。。。。。。。。。。。。

360一步搞定，阻止了如下这布，病毒不再继续动作

允许了如上动作，继续拦截

时间操作说明次数
10:12:12 已清除发现木马：Win32/RootKit.Rootkit.a84 1
详细描述：
木马名称：Win32/RootKit.Rootkit.a84
所在路径：C:\WINDOWS\system32\drivers\1230124356.sys
10:12:02 已清除发现木马：Win32/RootKit.Rootkit.a84 1
详细描述：
木马名称：Win32/RootKit.Rootkit.a84
所在路径：C:\WINDOWS\system32\drivers\1230124356.sys
10:11:42 自动阻止修改系统文件 1
详细描述：
进程：C:\WINDOWS\explorer.exe
动作：写入
路径：C:\WINDOWS\system32\drivers\redbook.sys
10:11:42 已阻止修改系统文件 1
详细描述：
进程：C:\WINDOWS\explorer.exe
动作：写入
路径：C:\WINDOWS\system32\drivers\redbook.sys
10:11:38 已阻止远程线程注入 1
详细描述：
进程：C:\WINDOWS\explorer.exe
动作：远程线程注入
路径：C:\WINDOWS\system32\winlogon.exe
10:11:29 已阻止修改驱动/服务 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.redbook\[ImagePath]
注册表内容：\*
进程：C:\WINDOWS\explorer.exe
10:11:20 已阻止修改驱动/服务 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.redbook\[Start]
注册表内容：3
进程：C:\WINDOWS\explorer.exe
10:11:11 自动阻止修改系统目录 2
详细描述：
进程：C:\WINDOWS\explorer.exe
动作：修改
路径：C:\WINDOWS\system32\drivers\1230124356.sys
10:11:11 已阻止修改驱动/服务 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.redbook\[Type]
注册表内容：1
进程：C:\WINDOWS\explorer.exe
10:11:03 自动阻止修改驱动/服务 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1230124356\[Start]
注册表内容：3
进程：C:\WINDOWS\explorer.exe
10:11:01 已允许远程线程注入 1
详细描述：
进程：D:\Keygen.AVG.2011.Software.Pack.AIO.++.key.exe
动作：远程线程注入
路径：C:\WINDOWS\explorer.exe
10:10:40 已阻止远程线程注入 1
详细描述：
进程：D:\Keygen.AVG.2011.Software.Pack.AIO.++.key.exe
动作：远程线程注入
路径：C:\WINDOWS\explorer.exe

显示全部楼层 · 发表于 2011-6-30 10:21:27

2011-6-30 10:15:50 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\1234\keygen.avg.2011.software.pack.aio.++.key.exe
命令行: "E:\DownLoads\1234\Keygen.AVG.2011.Software.Pack.AIO.++.key.exe"
规则: [应用程序]*

2011-6-30 10:16:24 创建新进程允许
进程: e:\downloads\1234\keygen.avg.2011.software.pack.aio.++.key.exe
目标: c:\windows\explorer.exe
命令行: 00000044*
规则: [应用程序]*

2011-6-30 10:16:30 修改其他进程的内存允许
进程: e:\downloads\1234\keygen.avg.2011.software.pack.aio.++.key.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-30 10:16:54 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1325] ->  [69.50.212.157 : 80 (http)]
规则: [应用程序]c:\windows\explorer.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-30 10:17:03 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\wevtapi.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-6-30 10:17:17 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\taskmgr.exe
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-6-30 10:17:19 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1326] ->  [69.50.212.157 : 80 (http)]
规则: [应用程序]c:\windows\explorer.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-30 10:17:22 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1327] ->  [69.50.212.157 : 80 (http)]
规则: [应用程序]c:\windows\explorer.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-30 10:17:33 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\1291811533.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:17:43 创建注册表项阻止
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1291811533
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-30 10:17:52 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ntfs.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:17:55 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ntfs.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:17:59 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\serial.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:03 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\serial.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:10 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\parport.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:14 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\parport.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:18 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\i8042prt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:19 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\i8042prt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:21 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ac97intc.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:22 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ac97intc.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:24 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\rasl2tp.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:27 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\rasl2tp.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:29 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ndiswan.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:30 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ndiswan.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:32 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\psched.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:33 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\psched.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:34 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\rdpdr.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:35 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\rdpdr.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:37 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\update.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:39 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\update.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:41 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\usbhub.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:42 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\usbhub.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:44 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ipsec.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:46 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ipsec.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:47 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\tcpip.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:48 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\tcpip.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:50 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\netbt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:51 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\netbt.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:52 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ipnat.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:18:53 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\ipnat.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

2011-6-30 10:19:08 修改文件权限阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\drivers\afd.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\windows*

... ...

2011-6-30 10:19:15 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1328] ->  [69.50.212.157 : 80 (http)]
规则: [应用程序]c:\windows\explorer.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-30 10:19:16 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1329] ->  [69.50.212.157 : 80 (http)]
规则: [应用程序]c:\windows\explorer.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-30 10:19:30 创建注册表项阻止
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.ipsec
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-30 10:19:32 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1330] ->  [69.50.212.157 : 80 (http)]
规则: [应用程序]c:\windows\explorer.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-30 10:19:35 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1331] ->  [69.50.212.157 : 80 (http)]
规则: [应用程序]c:\windows\explorer.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2011-6-30 10:31:49

现在已经报了

显示全部楼层 · 发表于 2011-6-30 11:24:17

显示全部楼层 · 发表于 2011-6-30 11:35:47

FS kill

显示全部楼层 · 发表于 2011-6-30 14:00:39

本帖最后由 cfans 于 2011-6-30 14:01 编辑

文件是黑的，毒霸已可查杀。

[其他相关] 可疑？帮忙分析行为，谢谢

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源